ETCS安全性完整性1级和2级的技术互用性安全性需求.docVIP

subset-091 技术互联互通的安全要求etcs 1级/2级技术互联互通的安全要求编 号 : subset-091版本号 : 2.2.2公布日期 : 2003年3月3日1. 修改记录发行编号、日期章节号修改/说明作者0.0.101-08-24全部初稿。wlh0.0.201-09-21全部gm0.0.301-10-04全部按subset0882将某些章节位置调整、增加和修改。wlh/gm0.0.401-10-11全部按ansaldo的要求修改，一致同意增加系统可容忍危险率（thr）。wlh0.0.502-04-29全部根据subset088 v 2.0.0版更新dari0.0.602-05-21全部按invensys、siemens和ansaldo的意见更新。文件名称从subset088第4部分改为subset091。dari0.0.702-05-23全部在rams组会议期间现场修改。rams会话0.0.802-05-31全部解决rams组会议的遗留问题。dari0.0.902-06-12全部按invensys、siemens和ansaldo的意见更新。dari0.0.1002-06-148.3较少的改动。dari0.0.1102-06-256、8、10经unisig super group审查后的澄清。dari2.0.002-06-28无提供用户组(user group )的公布稿。wlh2.0.102-11-11编辑处理。wlh公布2.0.202-12-10按invensys、siemens和ansaldo的审查意见进行编辑处理。wlh2.0.303- 01-28进一步修改，确保符合subset-088第3部分。wlh2.1.003-01-31提供用户组user group 的公开稿。wlh2.2.203-03-20最终稿，反映作为unisig审查意见（3月3日isa 0.0.2版报告）的2003年3月7 日isa 1.1版最终报告的意见。wlh2. 目录1. 修改纪录2. 目录3. 参考标准4. 引言4.1 适用范围4.2 系统基本情况4.3 基本结构4.4 危险事件4.5 要求项目的编号4.6 流程要求5. etcs系统对传输子系统的看法 5,1 消息的损伤5.2 消息的插入5.3 消息的删除5.4 消息的冒充6. 分配原则7. etcs车载设备的安全要求7.1 概述7.2 传输系统以外的etcs车载设备7.3 etcs车载传输系统8. etcs地面设备的安全要求8.1 概述8.2 传输系统以外的etcs地面设备8.3 etcs地面传输系统9. etcs外部实体的安全要求9.1 etcs 依赖性9.2 数据准备的完整性要求9.3 系统部署的完整性要求9.4 数据管理的完整性要求10. 任务概要和相关假定10.1 引言10.2 参照的基础设施10.3 工作参数10.4 工作假定11 术语12. 附录a. 12.1 危险事件清单13. 附录b13.1 图形表示（参考性）14. 附录c14.1 etcs 内在防护措施3. 参考标准3.1.1.1 本文编写过程中参考和引用的标准如下：l en 50126； 铁路应用可靠性、可用性、可维护性和安全性规范和说明（1999.9）l en 50128； 铁路应用通信、信号和处理系统铁路控制和防护系统软件（2001.3） l en 50129； 铁路应用通信、信号和处理系统信号安全相关电子系统（2001.5） l en 50159-1； 铁路应用通信、信号和处理系统第1部分：封闭传输系统中的安全相关通信（2001.3） l en 50159-2； 铁路应用通信、信号和处理系统第2部分：开放传输系统中的安全相关通信（2001.3） 3.1.1.2 本文编写过程中参考的文献如下（均为2.2.2版本）：l subset-026 unisig功能需求规范l subset-078 rbc/rbc切换的故障模式及影响分析（fmea）l subset-079-1 人机接口（mmi）的fmea（1级）l subset-079-2 mmi的fmea（2级）l subset-080-1 列车接口单元（tiu）的fmea（1级）l subset-080-2 tiu的fmea（2级）l subset-081-1 传输路径的fmea（1级）l subset-081-2 传输路径的fmea（2级）l subset-088-第1部分之一 安全分析，功能故障树（1级）l subset-088-第1部分之二 安全分析，功能故障树（2级）l subset-088-第2部分之一 安全分析，功能故障树（1级）l subset-088-第2部分之二 安全分析，功能故障树（2级）l subset-088-第3部分 安全分析，可容忍危险率（thr）分配3.1.1.3 subset-026的主题是安全分析，作为unisig 设计意图的说明。3.1.1.4 fmea文件确定了etcs 在基本结构强制性边界可存在的危险事件。该事件可用于subset088第一部分的故障树的根事件。4. 引言4.1 适用范围4.1.1.1 本文件规定在etcs 1级或2级运用时，高等级的定量安全要求。给出的这些数字只依据unisig各工作组的文件，未对系统实际使用情况进行预测。为了确保安全达到技术上互联互通必须达到的数值，本文给出的数字是最小值。只有技术上互联互通才能在运行上互联互通，才能使各国的高速铁路网互相连接。4.1.1.2 本文规定的安全要求对srs以及其他tsi参考的unisig规范子集中所包含的内容进行了补充。任何特定的实施和应用都需要按照欧洲标准进行危险识别和安全分析，本文件规定的通用安全要求是对安全分析流程的补充和支持。本文件的要求是确保技术上互联互通的最低要求。4.1.1.3 本文引用的支撑文件是为了便于找出安全要求的来源，但只有本文件才是强制性文件。4.1.1.4 供应商的责任是：按照互联互通技术规范中指定的程序，证明etcs设备在具体实施中符合本文件规定的安全要求。4.1.1.5 安全要求包括：l etcs车载系统的安全要求；l etcs地面系统的安全要求；l 分配给外部实体的安全要求，即etcs特定的，需要达到一致的安全要求。4.1.1.6 本文件中指出的定量安全要求的有效性和传输系统的特性、任务概要、工作争论等的推测或假定有关，这些内容见第5章和第10章。4.1.1.7 安全要求与所考虑实体的安全功能有关。subset088第3部分对这些安全功能及其相关危险进行了定义。本章再次对这些规定的危险进行说明。4.1.1.8 安全要求可以使用“可容忍危险率（tolerable hazard rates，thr）”限定。如果符合安全要求，则thr满足欧洲铁路定义和承认的etcs整体thr。危险率（hazard rates）与确保技术互联互通所必需的关键功能有关。4.1.1.9 可从subset088第3部分给出的thr的分配中得出危险率。分配原则见第6章要点。4.1.1.10 subset088第1、2部分提出了，在危险的根事件失效时减少核心危险发生的各种方案。细节见附录c。这些减轻措施必须一致，以确保达到技术互联互通以及系统的安全。4.1.1.11 安全要求的格式要符合en 50129 标准附录a。4.1.1.12 etcs基本结构规定的etcs整体thr依据esrog文件f2s9420a esrog报告4，db和sncf对共同etcs thr的建议 ，（2001年10月19日）。随机失效和系统失效之间的thr分配要符合pren 50129。thr涉及安装在单个列车上的设备以及该列车执行有关第10章规定的任务时所访问的etcs设备配置区域内所安装的设备。注：thretcs不包括因etcs基本结构之外的原因，如运行差错、牵引设备等引起的失效。4.2 系统基本情况4.2.1.1 全部分析按照以下内容进行。图1提出了依据etcs基本结构的规定，在高速跨国铁路运行环境下按欧洲指令96/48（european directive 96/48）结合互联互通技术标准要求执行的etcs 1级功能。l gsm无线&欧洲应答器的间隙l 相临的无线闭塞中心（仅针对etcs 2级）l 对tsi车辆的列车接口l tsi铁路网l 协调应用&行车规则l 列车数据 一 致 性 范 围l 联锁&地面对象l 调度中心l 列车检测系统l 司机和工作人员l 紧急业务l 相邻铁路l 平交道口l 不适用基础设施l 本国信号和行车规则l 既有atp系统l 运行计划和列车专用数据 本 国 信 号 范 围etcs1级基本结构 图1 本文的etcs基本结构4.2.1.2 etcs 1级基本结构是指ertms的etcs部分。这就意味着，在ertms内部增加新要素时，例如欧洲联锁等，不影响etcs基本结构适用范围。4.2.1.3 为了达到技术和运行的互联互通，运行环境要求etcs基本结构的车载子系统必须与遍及欧洲的规定实体接口。为此，要在一致性范围内部逐项说明。由于车载子系统的移动特性，这些问题将影响跨越欧洲时所达到的安全等级。4.2.1.4 需要将基本结构和一致性项目与本国信号系统联合进行。对这些一致性项目的说明见图1本国信号范围。注意，这些项目将影响个别国家所达到的安全性等级。4.2.1.5 unisig工作的范围是对基本结构的分析，详见4.3节。然而，达到安全关键的一致性取决于一致性项目，所提出的任何假定和要求都要有文档。有关国家信号系统性能的假定不在本文件工作范围之内。4.2.1.6 etcs的任务如etcs基本结构所规定，在高速环境下规定为：向司机提供准许其安全驾驶列车的信息，并强迫司机注意这些信息。4.2.1.7 注释：由于etcs不包括制动系统，“强迫注意”这些信息就意味着要对etcs外部实体（如制动系统）发出适当的命令。4.2.1.8 基本结构的核心危险是：超出etcs建议的安全速度 / 安全距离4.2.1.9 铁路规定并由国家安全权威部门注1批准的核心危险最大允许发生率为2.0109/小时/列车。这是etcs的最大可容忍危险率（thr），表示为thretcs。4.2.1.10 thr是考虑了对高速列车上旅客发生etcs核心危险的后果而得出的。4.2.1.11 核心危险及其相关thr与执行4.2.1.6规定的etcs功能失效有关。该功能的实现符合srs中规定的etcs基本结构。4.2.1.12 按照esrog 文件f2s9420 esrog 报告 4db和sncf对共同etcs thr的建议（esrog report 4，db and sncf proposal for a common thr for etcs），因行车人员（如司机、信号工和维护人员）和行车规则而产生的失效不包括在核心危险或其thr中。4.2.1.13 thr是指典型的高速旅客旅行的每小时可容忍危险率，在高速旅行中可使用多种etcs工作模式。subset088第3部分中采用将顶级危险的thr分解为unisig要素群危险率的分配方法。该thr分配以定义的任务要点为基础。4.2.1.14 为了达到要素危险率的限制值，任务要点要保证敏感度分析涵盖例如，运行模式的不同时间百分比，以确保目标结果适用广泛的实际应用。注1：指法国、德国、意大利和英国的安全权威部门。4.3 基本结构4.3.1.1 4.2.1.1条提出的“unisig 1级基本结构” 有如下所示的功能结构：gsm移动网gsm固定网无线注入单元欧洲环线欧洲应答器欧洲无线国家制式jru记录欧洲无线 地面密钥管理中心联锁和leu控制中心欧洲无线里程表核心车 载jru下载工具司机列车图2： 参照“etcs 基本结构”的ertms./etcs 系统 4.3.1.2 注释：括号中的接口无互联互通需要。4.4 危险事件4.4.1.1 由于可导致危险的事件与规定的thr有关，subset088的功能分析中确定的事件清单与thr要求项有关，该清单见附录a。除此之外，根据etcs设备的特定应用情况，还可导出更多的危险事件。供应商有责任证明他们是如何控制附录a列出的事件和特定的应用事件。4.5 要求项目的编号4.5.1.1 已经采用量化要求的编号系统：etcs_ob / tr xx，其中ob表示对etcs车载设备的要求，tr表示对etcs地面设备的要求。4.6 流程要求4.6.1.1 etcs极其依赖于来自外部源的数据质量以及对必要的外部实体的要求。这些要求所采取的流程应相当于安全性完整性等级sil4 的系统。这可理解为我们所谈的流程必须经过详细审查，以确定在什么地方存在对处理精度的潜在威胁和采取什么措施可以使这些威胁减至最小。4.6.1.2 本文件涉及的数据包括：列车司机可能需要输入的数据和系统设计者用于计算诸如速度限制和停车距离等参数的数据。4.6.1.3 上述问题并不意味着需要一致的流程。5. etcs系统对传输子系统的看法5.1 消息的损伤5.1.1.1 根据en 50159-1注2和en 50159-2注3，采取措施，减少不完全了解其特性的传输信道内的差错，保护数据通信是可能的。注2 适用于视为封闭传输系统的应答器传输系统。住3 适用于视为开放传输系统的无线传输系统。5.1.1.2 分析传输信道时（例如subset081 传输通道fmea ），按照en50159指示说明，考虑属于非信赖传输信道的发送机和接收机功能部分有时是很有用的。5.1.1.3 针对消息损伤和消息冒充（冒充消息的情况只用于无线通信环境）的情况，使用欧洲无线和欧洲应答器传输已经选择采用上述概念。在附录b，视为属于非信赖通信信道的etcs功能在“欧洲无线”、“应答器传输模块（btm）”、“欧洲应答器”和“欧洲环线和无线覆盖单元”内部。5.1.1.4 注意：欧洲无线、btm和环线传输模块（ltm） 也含有分别属于车载以及地面的安全相关功能。5.1.1.5 在thretcs分配中，假定视为非信赖通信信道部分的设备内部的失效模式采用与消息损伤有关的安全码进行防护。所要求的防护等级见7.3.1条。5.1.1.6 因此可以定义etcs传输设备“非信赖部分”为满足上述相关损伤假定的etcs设备部分。对于车载或地面etcs设备的供应商，如果他们能证明其设备和设备部分内部的失效模式不妨碍安全码的防护能力，则可允许他们定义其设备部分为非信赖的部分。5.1.1.7 etcs的分析假定：由于安全码的性能，欧洲无线、欧洲应答器和欧洲环线的空中间隔间隙特性符合相应规范，其未捡出损伤的概率可忽略不计。每个供应商都有责任证明其安全码达到本文件规定的防护水平。注：与通信信道非信赖部分有关的空间间隙不在etcs设备中。5.2 消息的插入5.2.1.1 subset088第3部分中规定，必须表明应答器组串音的发生率不超过1.010-9危险失效/小时。该要求已经送至unisig 内部欧洲应答器工作组，将该要求分解分配给subset036要素群（etcs 车载设备和应答器），并将设备的失效模式列入清单。5.3 消息的删除5.3.1.1 etcs技术规范中规定，在无线传输的情况下，地面（轨道）和列车之间的数据交换在正常条件下消息的删除不能导致危险。而且，重大消息的删除要借助确认程序减轻其影响。在此基础上，未捡出消息删除的概率则不再作为可证实/可测试的目标。5.3.1.2 只有应急消息情况下，删除才可能导致危险情况，此时应急消息使用高优先级信道，而不采用与正常信道安全性相同的防护。因此，“应急消息（emergency message）”的完整性取决于无线系统的质量和可用性，当然，这已超出了本要求的范围。5.3.1.3 除此之外，无线覆盖消息的删除是不危险的，因为它不含有限制性数据，因而也不用规定指标。5.4 消息的冒充5.4.1.1 本文件提及的安全性定量目标对于随机事件（如，在非信赖通信系统中的因电磁干扰、异常时延或重复造成的损伤等）引起的通信信道中的差错而言是有效的。5.4.1.2 基于定量思考，对因对无线传输系统故意攻击造成的消息冒充必须要区别对待，因为恶意攻击的比率是不可预测的。倘若负责系统工作的机构可以证明，其所采取的措施适当，可以确保密钥的机密性，则可以认为采用欧洲无线技术规范中规定的加密安全码所提供的防护是足够的。6. 分配原则6.1.1.1 在4.2.1.7和4.2.1.9已经对etcs系统的顶级危险和其相关的thretcs进行了规定。该thr将进行分解，分配给一致性共用的要素群，即车载和地面设备群。分配的结果分别在第7章和第0章说明。6.1.1.2 本章对分配处理原则进行概括总结。6.1.1.3 按照互联互通技术规范的要求，车载和地面设备之间thretcs平均分配，系统危险事件的分配按subset088第一和二部分的规定执行。将危险事件分为“车载事件”、“地面事件”或“传输事件”，每一种事件最初分得1/3 thretcs。“传输事件”相应的功能实际上由车载或地面设备执行。因此，传输事件的一半指标分配给车载设备，而另一半给地面设备。最终结果是将指标在车载设备和地面设备之间平分。6.1.1.4 图3举例说明上述分配原则。也引入了thronboard和thrtrackside项，表示纯车载和地面功能的用数字表示的安全要求。这些将分别在7.2和8.2作进一步详细阐述。车载功能（信赖部分）地面功能（信赖部分）传输功能（非信赖部分）车载设备地面设备图3：车载设备和地面设备间的thretcs分配原则6.1.1.5 对照对要素任务的规定及其一个典型1小时旅程相关危险的规定，再分配至要素群。7. etcs车载设备的安全要求7.1 概要7.1.1.1 从不同的可容忍危险率可得出安全完整性等级。危险率109 失效/小时时，采用sil 4处理是可行的。7.1.1.2 按照适当的互联互通技术规范的说明，在特殊环境下（温度、振动、电磁干扰等）应达到规定目标。7.1.1.3 etcs车载设备危险失效定义为：依据外部实体对etcs车载的指导信息提供的车载监督和防护失效。注：需要考虑的失效仅指引起在4.2.1.8中规定的etcs危险的失效。本文件上下文中，外部实体包括假定对车载设备提供正确信息的地面设备。7.1.1.4 为了使得出的目标有效，必须执行subset026“系统要求规范”版本2.2.2中的规则。7.2 传输系统以外etcs 车载设备etcs_ob01应表明etcs车载系统的危险率（去掉形成传输通道部分的那些部分）不超过thr 0.67109 危险失效/小时（参见subset088，12.3.1.1）。7.2.1.1 其中危险失效定义依照7.1.1.3。7.2.1.2 每个供应商都应考虑至少通过如附录a中规定的下列事件，证明已达到thronboard：l kernel-1kernel-32l odo-1odo-4l ti-1ti-6l mmi-1mmi-4l btm-h4（因传输信道信赖部分内部失效产生的危险部分）l ob-eur-h4（因传输信道信赖部分内部失效产生的危险部分）l ltm-h4（因传输信道信赖部分内部失效产生的危险部分）7.2.1.3 试验证据应考虑10.2和10.3中规定的任务概要（mission profile）以及10.4中陈述的工作假定。而且，试验证据可能需考虑附录c中确定的etcs内在防护特性。7.2.1.4 etcs总的安全性能极其依赖于送入etcs车载设备的列车数据。因此，对etcs要求简述如下：etcs_ob02“列车数据正确存储在车载上”的确认过程的质量必须相当于sil4级系统（参见subset088第三部分，12.6.4.2）。7.2.1.5 除subset026“系统要求规范（v 2.2.2）”中给出的规则之外，对分析过程部分还得出一些规则。这些附加规则如下。etcs_ob03附加链接反应如果两个预期顺序链接的应答器组链接显示为未检测到（不考虑其规定的链接反应），则车载应将对第二个应答器组的链接命令作为制动实施命令。这个特殊链接反应通知司机。（参见subset088第三部分，10.2.2.2）。etcs_ob04再定位防护如果发现两个连续再定位的应答器组，则应导致车载制动，直至列车停车为止。停车时，eoa应退回到当前列车车头位置，并通知司机。（参见subset088第三部分，10.2.2.3）。7.3 etcs 车载传输系统7.3.1 无线信道etcs_ob05无线消息的损伤对非信赖部分注4的要求是：非信赖etcs 车载无线传输设备应遵守5.1.1.6中给出的非信赖定义以及thr 1.01011 危险失效/小时的规定。（参见subset088第三部分，12.5.1.1）。注4信赖部分，见7.2.1.27.3.2 应答器信道etcs_ob06应答器消息的损伤对非信赖部分5的要求是：非信赖etcs 车载应答器传输设备应遵守5.1.1.6中给出的非信赖定义以及thr 1.01011 危险失效/小时的规定。（参见subset088第三部分，12.5.2.1）。etcs_ob07应答器组检测失效应表明etcs 车载不能检测应答器组的失效率不超过1.0107 危险失效/小时（参见subset088第三部分，12.5.2.4）。etcs_ob08应答器组的串音串音的总thr为 1.0109 危险失效/小时。在subset036中，本项要求在etcs车载设备和地面设备之间分配。由此得出对etcs车载设备的要求是，考虑下列各自的失效模式，最大不可用度为1.0106：l etcs 车载设备比预期更灵敏。l etcs 车载设备发送的场强比规定更强。有关潜在失效模式和可能的解决办法的详细说明，见subset036 附录f。（参见subset088第三部分12.5.2.5和subset036 6.4.5.2）。注5 信赖部分，见7.2.1.2条7.3.3 环线信道etcs_ob09环线消息的损伤对ltm-h4注6的非信赖部分要求是：非信赖etcs 车载环线传输设备应遵守5.1.1.6中给出的非信赖定义以及thr 1.01011 危险失效/小时的规定。（参见subset088第三部分，12.5.2.1和12.5.2.3）。注6 信赖部分，见7.2.1.2条8. etcs地面设备的安全要求8.1 概要8.1.1.1 从不同的可容忍危险率可得出安全完整性等级。危险率 90 10.3.3.4处于os（目视）的列车时间百分比3 10.3.3.5处于sr（员工责任）的列车时间百分比3 10.3.3.6处于sh（调车）的列车时间百分比1 10.3.3.7处于sl（休眠）或nl（补机）列车的时间百分比1 10.3.3.8处于un（未装备）的列车时间百分比1 10.3.3.9处于tr（冒进）的列车时间百分比1 10.3.3.10处于pt（冒进后）的列车时间百分比1 10.3.3.11处于rv（退行）的列车时间百分比1 10.3.3.12处于se（欧洲stm）或sn（本国stm）列车时间百分比1 10.3.3.13处于sf（系统失效）和is（隔离）列车时间百分比0，1 10.4 工作假定10.4.1.1 本节定义用作安全性分析过程部分的工作假定。10.4.1.2 表中标题为“值value”中的 表示，这个特殊参数已经明确用于10.1.1.1中叙述的目的。如果某参数处没有 ，而且该参数也不用于10.1.1.3中提及的供应商特殊安全性分析，则可视为是无关的参数。参考编号参数描述值10.4.1.3司机未在etcs边界查证核实等级变换功能的概率。见10.4.1.6，规则a：尽管不是srs要求部分，仍假定列车进入1级或2级设备区域将受线路恻进入信号控制。而且进一步假定，需要时（如，etcs区域没有光信号的情况）要采用进入信号或其他不是etcs的措施，防止未授权列车进入该区域。）0.001 10.4.1.4以sr模式行驶时，司机通过安全授权的概率。见10.4.1.6，规则b。0.001 10.4.1.5 所采用的数字是各国家观点之间的折衷产物，是高速和传统应用之间的折衷产物。10.4.1.6 应答器子系统的导出目标假定：适当的工作规则如下：l 规则a：尽管不是srs要求部分，仍假定列车进入1级或2级设备区域将受线路侧进入信号控制。而且进一步假定，需要时（如，etcs区域没有光信号的情况）要采用该进入信号或其他不是etcs的措施，防止未授权列车进入该区域。l 规则b：假定1级应用，没有线路恻信号，只有一些指示停车点的外部标志器。很明确，这样的标记器不显示任何示象信息。因此，假定对司机将通过本文件适用范围之外的工作程序授权。10.4.1.7 这些规则涵盖了如果司机未按信息执行就可能导致危险的情况。在引出安全目标时，未作出关于司机的警惕性可减缓etcs失效影响的假定。11. 名词术语11.1.1.1. 在unisig 的通用术语表上增加对下文很有用的3条术语。11.1.1.2 司机警惕性对司机的依靠程度及其发觉信息显示中或系统运行中的重大差错的能力。可识别差错的实例是实际速度：由于司机注意，司机能判断重大差错或摆式列车顷摆的失效。11.1.1.3 非信赖传输信道见5.1.1.6条。11.1.1.4 系统数据包括如下数据。列车数据srs 3.18.3内叙述的列车数据包括如下：该数据称为“列车数据”。l 列车类别l 列车长度l 列车车次号l 牵引/制动模式l 最大列车速度l 载重标准l 轴重l 电源l 气密系统状态附加数据srs 3.18.4内叙述的附加数据包括如下：该数据称为“附加数据”。l 司机idl ertms / etcs 等级l rbc id / 电话号码l etcs idl 粘合系数l 在ertms / etcs （列车到轨道）之外的应用数据l 列车车次号国家值 / 默认值国家值 / 默认值如srs 3.18.4内所述。特殊系统数据系统内部需要的但未包括在任何其他数据群的数据如下：该数据称为“特殊系统数据”。l 当前模式l eolm包l 无线覆盖区域信息l 会话控制信息（见下面）l 覆盖定位参考l 应答器id （包括nid_c和nid_bg）l ma 请求参数l 位置报告参数用于监督无线会话的信息如下：会话控制数据：l 会话建立（会话管理，ma- 、sh- 、sr请求、无线覆盖请求）l 会话终结（会话管理，会话结束end of mission（当前模式）l 激活 / 解除激活 t_nvcontact 监督l 特殊国家值（m_nvcontact、t_nvcontact）会话状态l 会话已建立l 会话已终结l 未建立连接l 连接丢失l 收到过时消息l 检测出顺序差错l 违反t_nvcontactl 捡测出消息不一致l 无线链路反应传输状态（应答器 / 环线）l 应答器传输开启 / 关闭l 捡测出消息不一致l 链接反应l 制动反应12. 附录a12.1 危险事件表12.1.1.1 下表是etcs内部的可能引发etcs危险的单独的或与其他失效结合的事件表。这些事件的详情见subset088第二部分的介绍。这里，表中包括的内容呈现了subset088第二部分确定的那些危险事件，通过subset088第三部分中工作分析不能消除这些事件。事件id事件描述mmi-1a全监控（full supervision）模式变更虚假确认mmi-1b进入补机模式(non-leading mode)的虚假命令mmi-1c越过（override ）eoa 请求的虚假命令mmi-1d等级变换(level transition)虚假确认mmi-1e列车冒进（train trip）虚假确认mmi-1f轨道前方空闲（track ahead free）虚假确认mmi-2ammi上的速度或距离的虚假显示mmi-2bmmi上模式的虚假显